[rls] Pf.conf Generator

xCPx · 03/12/2013, 15:06

Hey.
Da mir grade das pf schreibe dingens da tierisch aufn keks ging hab ich maln generator für geschrieben.
Ihr müsst nur ganz oben euer interface eintragen, die ip whitelist(falls ihr statische Ip´s habt) und eben eure Serverports(achtung, solltet ihr wechselnde Ip´s haben bei den Serverports auch die Db und ssh ports eintragen!

naja have fun with it:
it´s a simple py script

Code:

interface = "re0"
ip_whitelist = ["127.0.0.1"]
db_ssh = ["22", "3306"]
serverports = ["11002","291495","13013","1311","1321","1323","1331","1333","1341","1343","1351","1353","1361","1363"]


a = open("pf.conf", "w")
a.write("# -- Copyright © by JohnSilver, xCPx 2013. All rights reserved.\n")
a.write("# -- Interfaces\ninterface = \"{ "+interface +" }\"\nset block-policy drop\n\n# -- Paket-Normalisierung\nscrub in on $interface all\n\n# -- Whitelist\ntable <whitelist> { ")
ct = 0
for x in ip_whitelist:
	a.write(x)
	if ct < len(ip_whitelist)-1:
		a.write(", ")
	if ct == len(ip_whitelist)-1:
		a.write("   }\npass in quick from <whitelist> to any keep state\n# -- Blacklist \ntable <blacklist> persist file \"/var/db/blacklist\"\nblock quick from <blacklist>\n")
	ct+=1
a.write("pass in on $interface proto tcp from any to any keep state (max-src-conn 12, max-src-conn-rate 9/2, overload <blacklist> flush global)\n")
a.write("# -- Loopbackadapter Verbindungen\npass quick on lo0\nset skip on lo0\n\n# -- Spoofed IP Block (pflog)\nantispoof log for $interface\nblock in on $interface\n# -- Remote SSH & MySql\n")
for x in db_ssh:
	a.write("pass in quick on $interface proto tcp from <whitelist> to any port "+ x +" keep state\n")
a.write("# -- P2P \npass in quick on $interface proto tcp from 127.0.0.1 keep state\n# -- Serverports\n")
for x in serverports:
	a.write("pass in quick on $interface proto tcp from any to any port "+x+" keep state (max-src-conn 15, max-src-conn-rate 8/3, overload <blacklist> flush global)\n")
a.write("# -- Außgehend\npass out all keep state")
a.close()

Special Thx to:
JohnSilver1992 ---> Grundgerüst einer PF

TheMarv :< · 03/12/2013, 15:10

gg wp

Wer keine pf aufsetzen kann, sollte kein Server leiten :'3

Mi4uric3 · 03/12/2013, 15:11

Quote:

Originally Posted by TheMarv :<

gg wp

Wer keine pf aufsetzen kann, sollte kein Server leiten :'3

Ich denke es geht dabei mehr um die Faulheit

~~.Alessa~~ · 03/12/2013, 16:01

Schon wieder dieses ©... Mal im Ernst, wann begreifen die Leute überhaupt, was es bedeutet, bevor sie es verwenden?

Trotzdem nettes release. Für Schreibfaule vll etwas, aber wer die pf nicht aufsetzen kann, der wird das script sowieso nicht benutzen. Sollte eigentlich

rein, also bitte haltet euch auch an den Sammelthread, umsonst steht er ja nicht da.

xCPx · 03/12/2013, 16:02

@pattü:
reported, was hat das bitteschön mit dem Thread oder sonst iwas zu tun?
Is ja ganz klasse, dass du ein Bild gefunden hast

Wie sagen wir in bayern so sche:
gfrei di kauf dr an keqs un verbiss di

Ne mal ernsthaft? was hat das damit zu tun?
Weist du was das tolle dran ist? Wenn es kein Bild von mir ist, machst du dich damit lächerlich, und wenn es ein Bild von mir ist, dann hast du keinerlei rechte, es zu verwenden, wodurch du dich gleich mal nen Anwalt am hals hättest, also suchs dir aus mein Schnucki :*

@ Alessa:
Doch in Meinen Augen ist er umsonst, da es keine Regelung und nichts gibt, dass man ihn verwenden muss. Zudem ist er in meinen Augen unnütz und einfach nur bescheiden also ja.

Und wegen dem ©: ich verwende es weil ich das Script zur generierung geschrieben habe, das von JohnSilver ist so aus dem Grundgerüst übernommen.

яανєη™ · 03/12/2013, 16:11

Vielen dank das kann ich gerad gut gebrauchen haha

HNSYTwtyThree · 03/12/2013, 20:12

oh ja johnsilver und alessa ..

zum thema..

danke

Lauling · 03/12/2013, 23:12

nette sache, hab das zwar anderst gemacht aber diese methode gefällt mir fast besser.

~~Baum'~~ · 03/12/2013, 23:25

Danke Micha oder wie du heißt.

~~Prσfizσckєr94~~ · 03/13/2013, 00:05

Interface anpassen nicht vergessen

.Alpha. · 03/13/2013, 00:22

Für was zur Hölle braucht man so etwas, für was gibt es die tables bei PF ?

xCPx · 03/13/2013, 18:11

Quote:

Originally Posted by .Nova.

Für was zur Hölle braucht man so etwas, für was gibt es die tables bei PF ?

Wie gesagt, ich hab von Firewall Konfigurationen nicht sonderlich die Ahnung, ich hab es nur von der Vorlage heraus gebastelt, da ich weiß, dass ich sowas öfter mal brauchen kann und ja

Wenn das via tables auch geht, wärs nett, wenn mir das jemand erklären könnte, da ich wie gesagt davon relativ wenig ahnung habe :O

~~.Alessa~~ · 03/14/2013, 15:53

@xCPx:
Du kannst das ganze einfach so lösen:
protectips = { "3306" , "22" , "80" }
Wäre ein Beispiel. Die Liste kannst du dann einfach so abrufen:
$protectips

Dann reicht z. B. das hier, um den IPs in der Whitelist Zugang zu allen 3 Ports einzuräumen:
pass in quick on $interface proto tcp from <whitelist> to any port $protectips keep state

~~Syuki~~ · 03/17/2013, 01:26

#closed